PCI DSS-Standard in der FinTech-Branche

Payment Card Industry Data Security Standard (PCI DSS) in einem kurzen Blog erklärt. 

Tauchen wir ein ...

Dieses unangenehme Gefühl, wenn man etwas mit der Kreditkarte bezahlt und das Rädchen sich schon etwas zu lange dreht ..., "bitte lass endlich das grüne Häkchen aufpoppen"! 

Oder eine Website nach der anderen öffnet sich... eine Reise von einem Dienstleister zum nächsten, bis ich eine "Zahlungsbestätigung" erhalte. Alptraumszenarien. 

Was passiert eigentlich, während man wartet und hofft, dass man in diesen 8 Sekunden nicht gehackt wird? Obwohl man sowieso keine Ahnung hat, wie man eigentlich "gehackt" werden kann. Nun ja...

Eine Frage, die schwer zu beantworten ist. Was jedoch leicht zu beantworten ist, ist die Frage, wie die Kartendaten sicher verwendet werden. FinTechs, die mit solchen Daten und Informationen umgehen, unterliegen Vorschriften darüber, wie sie damit umgehen sollten. 

Denn das wird durch den Payment Card Industry Data Security Standard - PCI DSS - gewährleistet. 

‍

Was ist PCI DSS?

Der Payment Card Industry Data Security Standard (PCI DSS) gilt für alle Unternehmen, die Daten von Karteninhabern annehmen, verarbeiten, speichern oder übertragen, unabhängig von der Größe oder der Anzahl der Transaktionen. Wenn Ihr Unternehmen Zahlungskarten annimmt, müssen Sie höchstwahrscheinlich den PCI DSS einhalten.

Es ist wichtig zu wissen, dass die Verantwortung für die Einhaltung des PCI DSS bei den Händlern liegt, nicht bei den Kartenherstellern oder Banken. Wenn Sie gegen PCI DSS verstoßen, drohen Ihnen finanzielle Strafen und eine Schädigung Ihres Rufs, daher sollten Sie das Thema ernst nehmen.

‍

Wenn Sie ein Fintech-Unternehmen betreiben:

Wenn Sie ein Fintech-Unternehmen betreiben, das Kreditkartenzahlungen verarbeitet, wird von Ihnen erwartet, dass Sie den PCI DSS einhalten. Die Annahme von Zahlungskarten, die Verarbeitung, Speicherung oder Übermittlung von Karteninhaberdaten löst die PCI DSS-Compliance-Anforderung aus.

Es ist wichtig, dass Ihre Systeme, Netzwerke und Prozesse sicher sind und die PCI DSS-Anforderungen erfüllen. So können Sie die sensiblen Daten Ihrer Kunden, wie z. B. Kreditkartennummern und persönliche Informationen, vor unbefugtem Zugriff oder Diebstahl schützen.

‍

Anforderungen für die Einhaltung des PCI DSS:

• Nutzung und Wartung der Firewall
• Angemessener Passwortschutz
• Schutz von Karteninhaberdaten
• Übertragene Daten verschlüsseln
• Anti-Virus verwenden und pflegen
• Ordnungsgemäß aktualisierte Software
• Einschränkung des Datenzugriffs
• Exklusive IDs für den Zugang
• Physische Zugangsbeschränkung
• Erstellung und Pflege von Zugangsprotokollen
• Scannen und Testen auf Schwachstellen
• Richtlinien dokumentieren

‍

Die allgemeinen Schritte, die zu befolgen sind, um PCI DSS-konform zu werden:

• Prüfen Sie die Anforderungen des PCI DSS: Vergewissern Sie sich, dass Sie die 12 Anforderungen des Standards verstehen. Dazu gehören die Sicherung von Netzwerken, der Schutz von Karteninhaberdaten, die Aufrechterhaltung eines Schwachstellenmanagementprogramms und die regelmäßige Überwachung und Prüfung von Sicherheitssystemen.
  

• Bewerten Sie Ihre aktuelle Umgebung: Ermitteln Sie, wo Karteninhaberdaten gespeichert, übertragen und verarbeitet werden, und bewerten Sie die aktuelle Sicherheit dieser Systeme.
  

• Implementieren Sie die erforderlichen Kontrollen: Implementieren Sie auf der Grundlage der Ergebnisse Ihrer Bewertung die erforderlichen Sicherheitskontrollen, um die Anforderungen des PCI DSS zu erfüllen.
  

• Selbsteinschätzung: Füllen Sie einen Fragebogen zur Selbsteinschätzung aus, um festzustellen, inwieweit Sie die Norm erfüllen.
  

• Unterziehen Sie sich einer Bewertung durch einen QSA: Wenn Sie nicht in der Lage sind, eine erfolgreiche Selbstbewertung durchzuführen, oder wenn Sie von Ihrer akquirierenden Bank dazu verpflichtet werden, unterziehen Sie sich einer Bewertung durch einen QSA. (Ein qualifizierter Sicherheitsgutachter ist eine Person oder ein Unternehmen, das vom Payment Card Industry Security Standards Council (PCI SSC) zertifiziert ist, um die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) durch ein Unternehmen zu bewerten).
  

• Bericht über die Konformität: Wenn Sie die Prüfung bestanden haben, erhalten Sie einen Konformitätsbericht (Report on Compliance, ROC), mit dem Sie Ihre Konformität mit dem PCI DSS nachweisen können.

‍

Letztlich muss jedes Unternehmen, das Kreditkartendaten speichert, verarbeitet oder überträgt, die Anforderungen des PCI DSS erfüllen und dies einmal im Jahr nachweisen.

Beachten Sie, dass die spezifischen Schritte und Anforderungen für die PCI DSS-Zertifizierung je nach Größe und Komplexität Ihres Unternehmens sowie der Art der von Ihnen abgewickelten Kartentransaktionen variieren können.

Ein FinTech hat es eben nicht leicht, wenn es um Compliance und Sicherheit geht... Die Einhaltung von PCI DSS, verschiedenen globalen Gesetzen und Standards, wie der GDPR, kann es schwierig machen, den Überblick zu behalten. 

Hinzu kommt, dass Sie in verschiedenen Ländern mit unterschiedlichen Anforderungen und Vorschriften zur Informationssicherheit konfrontiert sein können! 

Aus diesem Grund bietet ISO 27001 einen Rahmen, der die verschiedenen Gesetze und Vorschriften an einem zentralen Ort zusammenführt - Ihrem individuellen ISMS.

Wenn Sie also PCI DSS einhalten wollen, kann die Implementierung von ISO 27001 Ihnen helfen, dieses Ziel zu erreichen.

Es ist jedoch wichtig zu wissen, dass ISO 27001 ein breiterer Standard ist, der ein breites Spektrum an Informationssicherheitsfragen abdeckt, während PCI DSS speziell auf den Schutz von Kreditkartendaten ausgerichtet ist.

‍